Foreign nation-state hackers have used vulnerable Ivanti edge devices to gain three months’ worth of “deep” access to one of MITRE Corp.’s unclassified networks.

MITRE، مباشر واژه نامه همه جا حاضر ATT&CK تکنیک های رایج حمله سایبری، پیش از این 15 سال را بدون حادثه بزرگ پشت سر گذاشت. این خط در ژانویه زمانی که، مانند بسیاری از سازمان های دیگر, its Ivanti gateway devices were exploited.

این نقض بر روی محیط آزمایش، تحقیق و مجازی سازی شبکه ای (NERVE)، شبکه ای طبقه بندی نشده و مشارکتی که سازمان برای تحقیق، توسعه و نمونه سازی از آن استفاده می کند، تأثیر گذاشت. میزان آسیب عصبی ( جناس مورد نظر) در حال حاضر در حال ارزیابی است.

دارک ریدینگ برای تایید جدول زمانی و جزئیات حمله با MITER تماس گرفت. MITER توضیح بیشتری ارائه نکرد.

ATT&CK MITRE

اگر قبلاً این مورد را شنیده اید، مرا متوقف کنید: در ژانویه، پس از یک دوره شناسایی اولیه، یک عامل تهدید از یکی از شبکه های خصوصی مجازی (VPN) شرکت سوء استفاده کرد. دو آسیب پذیری Ivanti Connect Secure zero-day (تکنیک ATT&CK T1190، بهره برداری از برنامه های کاربردی عمومی).

با توجه به پست های وبلاگ از مرکز دفاع آگاهانه از تهدید MITRE، مهاجمان احراز هویت چندعاملی (MFA) را دور زدند که از سیستم با برخی ربودن جلسات محافظت می کرد (MITRE ATT&CK T1563، ربودن جلسه سرویس از راه دور).

آنها سعی کردند از چندین سرویس راه دور مختلف (T1021، خدمات از راه دور)، از جمله پروتکل دسکتاپ از راه دور (RDP) و پوسته امن (SSH) برای دسترسی به یک حساب مدیر معتبر (T1078، حساب های معتبر) استفاده کنند. با آن، آنها به زیرساخت مجازی سازی VMware شبکه پرداختند و «عمق» کردند.

در آنجا، آنها پوسته های وب (T1505.003، مؤلفه نرم افزار سرور: Web Shell) را برای پایداری، و درهای پشتی برای اجرای دستورات (T1059، Command and Scripting Interpreter) و سرقت اعتبارها، استخراج هر گونه داده سرقت شده به سرور فرمان و کنترل مستقر کردند. (T1041، Exfiltration Over Channel C2). برای پنهان کردن این فعالیت، گروه نمونه های مجازی خود را برای اجرا در محیط ایجاد کرد (T1564.006، Hide Artifacts: Run Virtual Instance).

دفاع MITRE

دارن گوچیون، مدیرعامل و یکی از بنیانگذاران Keeper Security، می‌گوید: «تأثیر این حمله سایبری نباید به سادگی گرفته شود. تلاش آنها برای به خطر انداختن اعصاب MITRE، که به طور بالقوه می تواند داده های تحقیقاتی حساس و مالکیت معنوی را افشا کند.

او معتقد است: «بازیگران دولت-ملت اغلب انگیزه‌های استراتژیک در پشت عملیات سایبری خود دارند و هدف قرار دادن یک موسسه تحقیقاتی برجسته مانند MITRE که به نمایندگی از دولت ایالات متحده کار می‌کند، می‌تواند تنها یکی از اجزای یک تلاش بزرگ‌تر باشد.»

Whatever its goals were, the hackers had ample time to carry them out. Though the compromise occurred in January, MITRE was only able to detect it in April, leaving a quarter-year gap in between.

MITRE از بهترین شیوه ها، دستورالعمل های فروشنده و توصیه های دولت پیروی کرد سیستم Ivanti ما را ارتقا، جایگزین و سخت تر کنیداین سازمان در Medium نوشت، "اما ما حرکت جانبی را در زیرساخت VMware خود شناسایی نکردیم. در آن زمان معتقد بودیم که تمام اقدامات لازم را برای کاهش آسیب‌پذیری انجام دادیم، اما این اقدامات به وضوح کافی نبود"

Editor’s note: An earlier version of the story attributed the attacks to UNC5221. That attribution has not been made at this time.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/endpoint-security/mitre-attacked-infosecs-most-trusted-name-falls-to-ivanti-bugs